linux iptables问题
作者&投稿:霍桑 (若有异议请与网页底部的电邮联系)
iptables是用户态的管理工具,在新版的Linux或不同发行版中管理防火墙(net-filter模块)的工具有很多种,比如Centos7中的firewall-cmd还有Ubuntu中的ufw工具,如果你使用的Linux发行版是Centos的话,7以下默认就是iptables,7也可以使用yum来安装使用iptables的。
如果能帮助到你希望可以采纳,还有什么问题的话欢迎追问或来linuxprobe.com社区找我。
你修改的这些都是直接改到内核的,而不是改到配置文件,系统重启后,修改到内核的配置都会消失。
解决系统重启规则消失问题,专门有根据配置文件进行的配置恢复,配置恢复功能基本是每个网络设备的必备功能。
你这个问题可以通过下面连个命令解决:
1、保存当前的iptables规则
iptables-save > /etc/iptables-config
2、系统重启后,再用配置恢复的命令:
iptables-restore < /etc/iptables-config
首先先来翻译一下dport和sport的意思:
dport:目的端口
sport:来源端口
初学iptables比较容易迷糊,但是我尽量用通俗的语言给你讲解。
dport 和sport字面意思来说很好理解,一个是数据要到达的目的端口,一个是数据来源的端口。
但是在使用的时候要分具体情况来对待,这个具体情况就是你的数据包的流动行为方式。(INPUT还是OUTPUT)
比如你的例子:/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
注意里面的INPUT参数,这个代表你的这条数据包的进行的 "进入" 操作!
那么你的这条数据包可以这么描述:
1.这是一条从外部进入内部本地服务器的数据。
2.数据包的目的(dport)地址是80,就是要访问我本地的80端口。
3.允许以上的数据行为通过。
总和:允许外部数据访问我的本地服务器80端口。
再看第2条列子:/sbin/iptables -A INPUT -p tcp --sport 80 -j ACCEPT
1.这是一条从外部进入内部本地服务器的数据。
2.数据包的来源端口是(sport)80,就是对方的数据包是80端口发送过来的。
3.允许以上数据行为。
总结:允许外部的来自80端口的数据访问我的本地服务器。
input方式总结: dport指本地,sport指外部。
如果你的数据包是(OUTPUT)行为,那么就是另外一种理解方式:
比如:
/sbin/iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
1.这是一条从内部出去的数据。
2.出去的目的(dport)端口是80。
3.允许以上数据行为。
output行为总结:dport只外部,sport指本地。
不知道这样的解释是否清楚,其实有个简单的方式。
用他们自身的意思去读,然后看你iptables的数据方式(input or output)来读这条规则就能够理解了,祝你好运。
根据上图给你讲解:
目前,假设你本人就是内网流量,那么你要出防火墙,此时,你的端口就是源端口,
你的目的服务器或者节点的端口就是目的端口。
然后,假设你本人是外网流量。那么你要进入防火墙,此时,你进入防火墙的端口就是源端口,访问内网的服务器或者节点的端口就是目的端口。
如果还不明白,百度搜索“龙盟linux社区”,进入社区提问,我常驻上面。
首先你要明白一件事:
INPUT链所处理的网络数据包,都是入站(inboud)数据包。
一个tcp数据包的包头,同时包含源地址和目的地址,源地址就是”我的地址“,目的地址就是”我要访问的地址“
--dport 80是说,这个入站数据包的目的是访问对方的80端口,因为这个包是别人发给你的,所以要反着理解,也就是说,所有针对你的80端口访问的tcp数据包,都会被这个规则匹配。
--sport 80是说,这个入站数据包的源地址是来自对方的80端口,同样因为这个包是别人发给你的,所以要反着理解,也就是说,所有从对方80端口发给你的tcp数据包,都会被这个规则匹配。
(这个规则理解起来有点让人费解,其实一般这种情况都是在tcp三次握手的第二步发生的,也就是established阶段),一般这种情况都是对方在用反弹端口等方法提供服务才会使用。
dport 80 是目的的80端口 是本机的端口
你要把防火墙真的当个独立的机器,防火墙内外通讯都要经过它,经过它分三步,进入,处理,离开。你的服务器接收和发出的数据,都要经过这三个过程。这两条是进入规则,虽然方向不同,但对防火墙来说都是进入。
俎杨远浪:[答案] 直接用 iptables -A INPUT -p tcp --dport 22 -j ACCEPT 不就行了吗?不需要加m参数的.
高港区17748501229: linux的iptables问题 - ?
俎杨远浪: 封掉外来的icmp iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j ACCEPT
高港区17748501229: 如何解决Linuxiptables防火墙问题呢? ?
俎杨远浪: 在研究Linux下Firewall的配置,发现配置好防火墙以后ftp就有问题了,一直都不能够用Filezilla 和 CuteFTP登录,在列出目录的时候一直会失败.但是在命令行下面如果先...
高港区17748501229: linux防火墙iptables这几个都安装了还是出现下面的问题 - ?
俎杨远浪: 意思是以后让你用sysyemctl start iptables.service命令启动 新版本Linux是systemctl命令,不建议用service命令了 还有新版本防火墙是firewalld,不是iptables,想用就先把firewalld停了
高港区17748501229: 关于 LINUX 防火墙 iptables 的问题 - ?
俎杨远浪: 这个设置setup时会受到影响.假如你之前setup里防火墙是关闭的话,如果你此时自己制定了很多策略并保存到了/etc/sysconfig/iptables里了.而此时用setup把防火墙改成...
高港区17748501229: LINUX进程iptables问题,网络资源基本完全占用,PING不通.?
俎杨远浪: 兄弟 你那是中毒了 linux.ddos 进程文件名.IptabLes .IptabLex IptabLes IptabLex pkill -9 .IptabLes pkill -9 .IptabLex pkill -9 IptabLes pkill -9 IptabLex 关闭之后 find / -name .IptabLe* 然后删除 这进将进程转发了 你在 虚拟机上装后 运行这文件 strace -p 进程号 进行跟踪会发现通信 IP 估计网站有漏洞
高港区17748501229: linux下面 为什么iptables - L 显示的东西 与iptables 文档里面的东西不同? - ?
俎杨远浪: 呵呵,有可能/root下面的iptables有可能是你以前同事创建的脚本,也可能是他们以前保存的结果放在/root下,实际上,无论是iptables脚本还是iptables保存文件,放在哪儿都可以,只是系统重启后,默认是读取/etc/sysconfig/iptables中的保存内容.你可以这样:iptables-save -c > /etc/sysconfig/iptables 或 iptables-save -c > /root/iptables 这样就一样了 总之,iptables -L 显示的才是当前生效的,/etc/sysconfig/iptables中的内容是重启系统后读取的文件.
高港区17748501229: linux iptables问题 - ?
俎杨远浪: 我来帮你解释dport 和sport的问题.首先先来翻译一下dport和sport的意思:dport:目的端口sport:来源端口初学iptables比较容易迷糊,但是我尽量用通俗的语言给你讲解.dport 和sport字面意思来说很好理解,一个是数据要到达的目的端口,...
高港区17748501229: linux中,设置了iptables之后,对外ping不通,何解? - ?
俎杨远浪: 楼上的好像不大对吧,楼主是对外ping不通,不是拒绝ping请求强烈建议把整个OUTPUT chain设成允许,这没有什么安全隐患的iptables -A OUTPUT -j ACCEPT注意要在...
高港区17748501229: linux 下 我把iptables 开启之后 按说 各种端口都不能用 但是在外界访问的时候都能用 求解 - ?
俎杨远浪: 开了之后还是加规则.按说 各种端口都不能用 这是建立的利用默认规则的基础之上,就是配置里有一条,所有的连接都拒绝.如果你没有默认配置,或者已经修改了默认配置,那么就不会有按说的情况发生.
